Autenticação de dois fatores: um guia para usuários do WordPress

Publicados: 2023-01-03

Você provavelmente já encontrou um processo de autenticação de login em duas etapas no banco on-line e em qualquer site que exija a mais alta segurança para seus usuários. Como o WordPress suporta autenticação de dois fatores (2FA), você pode ter o mesmo nível de segurança de um banco. Seja seu próprio site WordPress ou sites que você cria para clientes, uma segurança forte é fundamental.

A autenticação de dois fatores adiciona uma camada incrivelmente importante de proteção que todo proprietário de site WordPress deve considerar seriamente adotar. Como o 2FA impossibilita muitas tentativas comuns de hacking, os hackers simplesmente evitarão sites protegidos por 2FA e não se incomodarão em tentar invadir com métodos que sabem que não funcionarão. Todo site WordPress pode se beneficiar da camada adicional de segurança fornecida pela autenticação de dois fatores.

Por que senhas fortes não são suficientes

As ameaças cibernéticas representam sérios riscos para você e seus clientes. Se um usuário não autorizado obtiver acesso ao painel de administração do seu site, qualquer coisa pode acontecer. Você pode perder todos os seus dados em um instante. Você pode perder o controle do seu site por algum tempo. Criminosos podem coletar as informações pessoais de seus usuários. Seus usuários não ficarão felizes, mas você terá que informá-los sobre o que aconteceu. A lei exige que você divulgue violações de dados de identificação pessoal.

Muitos ataques podem penetrar em seu site adivinhando senhas ou usando senhas roubadas. Se você e todos os usuários do seu site tiverem a autenticação de dois fatores ativada, nenhum desses métodos de força bruta para invadir seu site funcionará.

Sim, é sempre importante exigir senhas fortes em todas as contas de usuário para proteger seu site e seus usuários. No entanto, uma senha forte não fornece proteção suficiente por si só. Os invasores podem invadir seu site adivinhando senhas fortes ou usando senhas roubadas. Essa é uma realidade tão comum agora que os logins tradicionais baseados em senha são inadequados como uma única camada de segurança.

Senhas fortes não oferecem proteção forte o suficiente sem camadas adicionais de segurança. O uso da autenticação de dois fatores para todas as suas contas de usuário é uma medida de segurança muito mais eficaz porque adiciona a camada adicional necessária para proteger seu site e seus clientes. Isso não quer dizer que a aplicação de senhas fortes não seja necessária. Você ainda deve fazer isso também - e depois adicionar 2FA!

A autenticação de dois fatores é relativamente fácil de configurar. Ao fazê-lo, reduzirá drasticamente o risco de usuários mal-intencionados não autorizados obterem acesso de administrador ao seu site WordPress. Vença, vença!

A autenticação de dois fatores bloqueia ataques de força bruta

Parar os ataques de login de força bruta é um ótimo exemplo da proteção que a autenticação de dois fatores adiciona ao seu site WordPress. Os ataques de força bruta são uma ameaça comum, mas a autenticação de dois fatores os eliminará. Em um ataque de login de força bruta, os hackers testam rapidamente muitas senhas comuns e baseadas em dicionário contra seu administrador e outras contas de usuário. Às vezes, os hackers testam grandes listas de nomes de usuário, endereços de e-mail e combinações de senhas roubadas em sua tela de login.

O teste automatizado e com script de milhares de logins ilícitos pode tornar seu site lento ou off-line. Por esse motivo, os ataques de login de força bruta geralmente têm o efeito de ataques de negação de serviço. Mas se você e todos os usuários do seu site tiverem a autenticação de dois fatores habilitada, nenhum desses métodos de força bruta funcionará . Nenhum hacker vai querer tentar logins de força bruta em seu site em grande escala. Não haverá possibilidade de sucesso para eles.

Adicionando autenticação de dois fatores ao seu site WordPress

Neste guia, discutiremos os detalhes do 2FA. Você aprenderá como funciona a autenticação do usuário na plataforma WordPress. Em seguida, explicaremos como implementar 2FA com plugins do WordPress.

Neste Guia

    O WordPress tem autenticação de dois fatores?

    O núcleo do WordPress não possui autenticação de dois fatores incorporada. Você precisa adicioná-lo.

    A autenticação de dois fatores é uma camada de segurança adicional que você adiciona ao seu site com um plug-in do WordPress e, às vezes, um serviço externo. Em outras palavras, ele se baseia nos principais recursos de conta de usuário de uma instalação padrão do WordPress. O 2FA faz com que seu site WordPress exija não apenas uma senha, mas também informações adicionais para verificar a identidade de cada um de seus usuários sempre que eles tentarem fazer login.

    A verificação 2FA vem de uma fonte que um usuário autorizado do site pode acessar, como:

    • Uma mensagem de texto, chamada ou notificação enviada para o telefone
    • Um link ou código enviado por e-mail
    • Códigos QR

    A autenticação de dois fatores é altamente segura. Invasores e hackers mal-intencionados não terão acesso físico aos canais e dispositivos externos de seus usuários. Isso significa que, mesmo que consigam quebrar uma senha, eles ainda não conseguirão obter acesso não autorizado ao seu site sem uma segunda camada de autenticação. Para invadir com a senha de um usuário, eles também precisam ter invadido o e-mail, computador ou telefone de um usuário. Isso pode acontecer, mas é extremamente raro em comparação com ataques de força bruta com script que testam milhões de senhas todos os dias.

    Preciso de 2FA para meu site WordPress?

    A execução da autenticação de dois fatores impedirá que muitos atores mal-intencionados no mundo on-line tentem obter acesso não autorizado ao seu site. Embora não seja estritamente necessário, quem não precisa dessa proteção e tranquilidade?

    Não deixe que os maus atores ocupem o centro do palco em seu mundo. 2FA impede as tentativas de acesso não autorizado.

    Se você já teve seu site WordPress invadido ou ouviu falar de alguém que o fez, então você sabe com que rapidez ele pode ser repleto de links de spam, redirecionamentos e códigos maliciosos que podem causar danos imediatos e irreparáveis ​​à sua reputação.

    Pior ainda, se você estiver executando um site de comércio eletrônico usando WooCommerce, um hacker pode acessar dados de clientes, como nomes, endereços, números de telefone, endereços de e-mail e até números de cartão de crédito.

    Se isso acontecer, você terá dificuldade em sair da bagunça.

    O WordPress 2FA é uma segunda linha de defesa que mantém as pessoas mal-intencionadas ao mesmo tempo em que garante que, mesmo que uma senha seja comprometida, as contas permanecerão seguras e seguras, desde que a segunda camada de proteção permaneça um bloqueio inquebrável para um hacker.

    Como proprietário de um site WordPress, entenda que o recurso de autenticação de dois fatores é 100% opcional. Como não é um recurso principal, você só precisa implementá-lo em seu site se quiser. É totalmente gratuito e adiciona uma camada de proteção quase inquebrável que aliviará muitas preocupações sobre hacks e ataques.

    DICA: Quanto mais fáceis forem suas escolhas de segurança, maior a probabilidade de você implementá-las. MANTENHA SIMPLES!

    Com isso dito, o 2FA é uma abordagem óbvia para a segurança do site WordPress que todos devem usar se ainda não o estiverem usando ou ainda métodos de login seguros e mais fortes que usam senhas em vez de senhas.

    Os benefícios do 2FA para sites WordPress com vários usuários

    Nas páginas de login padrão e não modificadas do WordPress, você e seus usuários simplesmente inserem um nome de usuário e uma senha para obter acesso ao site. Após o envio das credenciais de login, se uma combinação de nome de usuário e senha corresponder ao que está no banco de dados do WordPress, o usuário obtém instantaneamente acesso ao back-end do WordPress e quaisquer privilégios com base nas regras de permissão que você aplicou.

    O WordPress tem seis funções de usuário predefinidas:

    • superadministrador
    • Administrador
    • editor
    • Autor
    • Contribuinte
    • Assinante

    Por padrão, essas funções têm permissão para executar conjuntos específicos de tarefas em seu site. As tarefas que uma função pode executar são chamadas de “Recursos”.

    A maioria dos usuários do site padrão provavelmente está na função Assinante, que tem menos recursos. No entanto, você pode ter administradores, editores e autores adicionais acessando regularmente o back-end do seu site. Alguns usuários podem ser negligentes com suas senhas, podem compartilhar contas e alguns com privilégios especiais podem dar privilégios a outros usuários sem o seu conhecimento. Você pode esquecer de remover usuários ou fazer downgrade de seus privilégios quando eles não estiverem mais ativos ou necessários. Todas essas situações são comuns e criam oportunidades para os atacantes.

    Se um hacker descobrir apenas um dos nomes de usuário e senhas do administrador, ele terá acesso instantâneo a todo o site com privilégios totais. Isso é ruim, obviamente, mas você também não quer que seus assinantes sejam hackeados. Mesmo nesse caso, você teria que denunciar a violação, e isso prejudica a confiança que seus usuários têm em você e em sua marca.

    Como a autenticação de dois fatores protege os logins dos usuários

    A autenticação de dois fatores impede que hackers invadam contas de usuário verificando duas vezes a identidade de um usuário usando uma mensagem de e-mail, mensagem de texto ou um aplicativo autenticador. No momento do login, o segundo método de verificação é ativado. Com isso, o usuário terá que confirmar seu login por meio de um desses canais secundários.

    Simplificando, quando você ou outro usuário do site insere dados pessoais de login na página de login do seu site (um nome de usuário e senha), uma notificação imediata é enviada para o endereço de e-mail ou número de telefone associado ao usuário que está tentando fazer login. esta notificação de login incluirá um link, código QR ou um PIN único para permitir que a tentativa de login continue.

    Para os usuários entrarem no site, eles precisarão seguir as instruções no e-mail ou mensagem de texto. Eles podem ser solicitados a clicar em um link de acesso específico ou inserir um PIN.

    Embora essa etapa extra retarde o processo de login, a segurança adicional supera em muito o risco de deixar seu site aberto a hacks simples de nome de usuário e senha que os criminosos cibernéticos executam em toda a Web todos os dias.

    A autenticação de dois fatores é totalmente segura?

    Nenhuma medida de segurança é 100% infalível. No mundo do hacking, onde há vontade, os hackers encontrarão um caminho. Se o pior acontecer e você descobrir que seu site foi hackeado, é melhor executar um plug-in de backup do WordPress que pode restaurar imediatamente seu site para um momento seguro antes de um ataque.

    Ao comparar o 2FA com os protocolos de proteção de senha padrão no WordPress, você descobrirá que a autenticação de dois fatores é mais segura. O processo exige que seus usuários (e você) confirmem todas as tentativas de login de uma fonte exclusiva para cada usuário. Normalmente, trata-se de um telefone ou conta de e-mail particular. Isso significa que um hacker só pode obter acesso ao funcionamento interno de um site WordPress protegido por 2FA se também tiver acesso aos dispositivos de um usuário do site e informações externas de login. Como isso é extremamente improvável de acontecer, adicionar 2FA torna seu site muito menos propenso a ser invadido por um login ilícito.

    Você está pronto para aprender como adicionar 2FA ao WordPress para proteger seu site e seus usuários? Nesse caso, continue lendo para saber como incorporar o recurso 2FA em seu site e colocá-lo em execução.

    autenticação de dois fatores

    Como habilito a autenticação de dois fatores no WordPress?

    Dependendo do host do seu site, você pode habilitar a proteção 2FA no cPanel ou no portal do usuário do seu host.

    No entanto, se o seu host não fornecer proteção 2FA, você poderá implementá-la facilmente por conta própria usando plug-ins do WordPress.

    Plugins de autenticação de dois fatores do WordPress

    Listados abaixo estão alguns dos melhores plugins WordPress 2FA que protegerão seu site contra ataques de login com script imediatamente .

    1. Autenticação de dois fatores de segurança iThemes

    Em nossa opinião, o melhor pacote de segurança de sites WordPress completo disponível é o iThemes Security Pro com autenticação de dois fatores. Ele não apenas protege seu site com 2FA, mas também vem com recursos adicionais de segurança do site:

    • Proteção contra ataque de força bruta
    • Detecção de alteração de arquivo
    • Detecção de erro 404
    • Aplicação de Senha Forte
    • Bloqueio de Bot Inválido e Spam
    • Modo Ausente

    O iThemes Security Pro elimina as suposições sobre a segurança do WordPress. Você não precisa ser um profissional de segurança para usar um plug-in de segurança, então o iThemes Security Pro facilita a segurança e a proteção do seu site WordPress, mesmo que você não tenha muito conhecimento técnico.

    Adicionar autenticação de dois fatores usando o plug-in de segurança do WordPress iThemes Security Pro é fácil até mesmo para o usuário mais novato. Depois de instalado e ativado, os usuários do site precisarão inserir uma senha junto com um código sensível ao tempo que é enviado a um dispositivo secundário.

    Prós, contras e custos
    • Prós do iThemes Security Pro: Você obtém muito mais proteção de segurança do que apenas autenticação de dois fatores. Melhor ainda, a opção 2FA é robusta e fácil de usar. Você terá certeza de que seu site está totalmente protegido contra logins maliciosos ao ativar o plug-in.
    • Contras do iThemes Security Pro: O plug-in custa mais do que as outras opções 2FA pagas, mas você obtém mais retorno pelo seu investimento.
    • Custo do iThemes Security Pro: Se você só precisa proteger um site, o custo do plug-in é de US$ 80 por ano. Para até dez locais, custará US$ 127 por ano. Para sites ilimitados, você pode usar o plug-in por US$ 199 por ano. Esse é um investimento que vale a pena fazer quando você considera a alternativa.

    2. Autenticação de dois fatores Rublon

    Se você está procurando um plug-in de autenticação de dois fatores fácil de usar para WordPress, dê uma olhada no plug-in Rublon Two-Factor Authentication. O plug-in Rublon 2FA protegerá rapidamente seu site contra todos os logins não autorizados, sem quaisquer obstáculos técnicos da sua parte.

    Depois de baixar e instalar o plug-in Rublon, na próxima vez que tentar fazer login no WordPress, você terá que clicar em um link de verificação que é enviado para o endereço de e-mail da sua conta de usuário do WordPress. Então, depois de clicar no link para verificar sua identidade, você será perguntado se deseja que o site se lembre do seu dispositivo para logins futuros. Isso significa que você não precisará verificar sua identidade sempre que fizer login, desde que esteja usando o mesmo dispositivo e navegador sempre que acessar o site.

    Se você estiver usando um dispositivo ou navegador diferente após a verificação, basta repetir o processo e salvá-lo também - apenas tome cuidado para nunca fazer isso em um dispositivo ao qual outras pessoas tenham acesso!

    A versão gratuita do plugin Rublon 2FA é uma das melhores opções para sites WordPress que possuem apenas um usuário . Ao atualizar para a versão paga, este plug-in também pode ser usado para proteger sites multiusuários.

    Prós, contras e custos
    • Prós da Autenticação de Dois Fatores Rublon : É mais fácil para os administradores do site. Depois de instalar e ativar o plug-in, ele não requer nenhum treinamento ou configuração. Funciona assim que sai da caixa.
    • Contras da Autenticação de Dois Fatores Rublon: Não suporta notificações push ou verificação de mensagens de texto. Por esse motivo, você só terá verificação de e-mail para 2FA.
    • Custo da Autenticação de Dois Fatores Rublon: A versão pessoal deste plug-in para um site é totalmente gratuita. Conseqüentemente, se você estiver executando um site multiusuário ou tiver vários sites, precisará obter a versão paga do plug-in. Para fazer isso, entre em contato com a equipe de vendas para obter uma cotação.

    3. Autenticação dupla de dois fatores

    Duo Two-Factor Authentication é um dos plugins WordPress 2FA mais avançados que você pode encontrar. Com ele, você pode configurar a autenticação de dois fatores com base nas funções do usuário no painel do WordPress.

    Por exemplo, você poderá exigir que Editores e Autores usem o processo de login 2FA, mas os Assinantes (que não podem acessar o painel do Admin de forma alguma) precisam apenas inserir seus nomes de usuário e senhas para entrar no site. Esse recurso útil pode evitar que usuários básicos fiquem frustrados com o processo demorado de autenticação de dois fatores.

    Este plug-in também fornecerá várias opções diferentes de verificação do usuário, incluindo:

    • Um telefonema automatizado
    • Uma mensagem SMS com um código PIN
    • Um aplicativo móvel

    É uma ferramenta 2FA mais flexível do que o plug-in Rublon Two-Factor Authentication, que oferece apenas e-mail de autenticação de dois fatores do WordPress.

    Prós, contras e custos
    • Prós da autenticação de dois fatores do Duo: Este plug-in de autenticação de dois fatores do WordPress oferece suporte à configuração de funções de usuário e inclui uma ampla variedade de métodos para verificação do usuário. Por causa disso, é extremamente versátil para sites WordPress.
    • Contras da Autenticação de Dois Fatores Duo: Infelizmente, este plugin não suporta WordPress Multisite. Por esse motivo, pode estar fora de questão para alguns usuários.
    • Custo da Autenticação Duo de Dois Fatores: Este plug-in é a solução gratuita perfeita se você tiver dez ou menos usuários que fazem login regularmente em seu site. No entanto, se você tiver mais de dez, poderá aumentar o limite pagando US$ 3 por mês para cada usuário adicional.

    4. Google Authenticator – autenticação de dois fatores do Google para WordPress

    A autenticação de dois fatores do Google para WordPress também é uma opção a ser considerada para implementar o 2FA em seu site WordPress.

    O Google Authenticator oferece uma boa variedade de métodos de verificação que protegerão seu site contra login não autorizado malicioso, incluindo mensagens de e-mail, códigos QR e notificações push.

    Assim como o Duo Two-Factor Authenticator, você poderá usar este plug-in para configurar regras 2FA específicas para determinadas funções de usuário do WordPress. Esse recurso torna a autenticação de dois fatores do Google uma arma poderosa para o WordPress na luta contra ataques de hackers.

    Você pode configurar o Google Authenticator para exigir um nome de usuário, senha e fator de verificação adicional. Ou você pode configurar o plug-in para exigir apenas um nome de usuário e um fator adicional, sem necessidade de senha.

    Prós, contras e custos
    • Prós do Google Authenticator: Este plug-in oferece suporte a funções de usuário específicas relacionadas ao 2FA e vem com uma ampla variedade de métodos para verificar os usuários do site, incluindo SMS, códigos QR, notificações push e chamadas telefônicas automatizadas.
    • Contras do Google Authenticator: A versão que o Google oferece gratuitamente é relativamente limitada nos recursos que você poderá usar.
    • Custo do Google Authenticator: a versão gratuita oferece autenticação de dois fatores para um único usuário. Você poderá atualizar para vários usuários a partir de US$ 15 por ano.

    É hora de implantar a autenticação de dois fatores em seu site WordPress?

    Lembre-se de que seu site WordPress é tão seguro quanto sua página de login permite. Na maioria das vezes, restringir o acesso apenas a um nome de usuário e senha não é suficiente.

    Ao implementar o 2FA, você poderá manter seu site, seus visitantes, seus usuários e seus clientes protegidos contra ataques maliciosos de força bruta.

    DICA: Sempre melhor prevenir do que lamentar.

    Ao complementar um bom sistema de backup com autenticação de dois fatores, você está tomando medidas básicas para proteger seu site.